- ब्रिटेन का Online Safety Bill iMessage, WhatsApp और Signal जैसे एन्क्रिप्टेड मैसेजिंग ऐप्स से child abuse images स्कैन कराने की मांग कर सकता है, इसलिए Apple ने बिल में संशोधन की मांग की है
- बिल Ofcom को प्रमाणित तकनीक के ज़रिए मैसेज कंटेंट स्कैन करने का निर्देश देने की शक्ति देता है, और सरकार का कहना है कि यह कड़े privacy safeguards पूरे होने पर अपनाया जाने वाला “अंतिम उपाय” है
- Apple ने जोर देकर कहा कि end-to-end encryption पत्रकारों, मानवाधिकार कार्यकर्ताओं, राजनयिकों और आम नागरिकों को निगरानी, identity theft, fraud और data breach से बचाता है
- Signal और WhatsApp का कहना है कि वे encryption privacy को कमजोर करने वाली मांगों को नहीं मानेंगे, और Signal ने कहा है कि मजबूर किए जाने पर वह ब्रिटेन से हट जाएगा
- civil society, academia और cyber experts ने चेतावनी दी है कि यह कदम ब्रिटेन से आगे बढ़कर अंतरराष्ट्रीय digital communication services की security trust को भी हिला सकता है
Online Safety Bill को लेकर encryption टकराव
- Apple ने आलोचना की कि Online Safety Bill की शक्तियों का इस्तेमाल iMessage, WhatsApp और Signal जैसे एन्क्रिप्टेड मैसेजिंग टूल्स पर child sexual abuse material स्कैनिंग थोपने के लिए किया जा सकता है
- Apple का रुख है कि बिल में संशोधन कर end-to-end encryption की रक्षा की जानी चाहिए
- end-to-end encryption वह तरीका है जिसमें भेजने वाले और पाने वाले के अलावा कोई भी मैसेज नहीं पढ़ सकता
- पुलिस, सरकार और कुछ प्रमुख child protection groups का मानना है कि WhatsApp और Apple iMessage जैसे ऐप्स की encryption, law enforcement agencies और कंपनियों के लिए child sexual abuse material की पहचान करना कठिन बना देती है
- ब्रिटिश सरकार का कहना है कि कंपनियों को अपने platforms पर child abuse रोकना चाहिए
- उसका मानना है कि कंपनियों को end-to-end encryption तभी लागू करनी चाहिए जब वे platforms पर गंभीर child sexual abuse को रोक सकें
- सरकार का कहना है कि वह user privacy बनाए रखते हुए child sexual abuse material के प्रसार से निपटने का समाधान कंपनियों के साथ मिलकर खोजती रहेगी
- बिल अभी संसद से पारित होने की प्रक्रिया में है, और इसमें Ofcom को platforms को प्रमाणित तकनीक से मैसेज कंटेंट स्कैन करने का निर्देश देने की शक्ति शामिल है
- सरकार का कहना है कि यह शक्ति “अंतिम उपाय” है और केवल तब इस्तेमाल होगी जब कड़े privacy safeguards पूरे हों
client-side scanning और उद्योग का विरोध
- सरकार का मानना है कि एन्क्रिप्टेड मैसेजों में भी child abuse material स्कैन करने का तकनीकी समाधान संभव है
- कई तकनीकी विशेषज्ञों का मानना है कि इसके लिए client-side scanning software चाहिए, जो मैसेज भेजे जाने से पहले फोन या कंप्यूटर पर उसकी जांच करे
- आलोचकों को चिंता है कि client-side scanning मैसेज privacy को बुनियादी रूप से कमजोर कर देता है
- Apple ने 2021 में iCloud पर upload होने से पहले iPhone photos में abuse content स्कैन करने की योजना घोषित की थी, लेकिन विरोध के बाद उसे वापस ले लिया
- Signal और WhatsApp समेत कई मैसेजिंग platforms पहले ही कह चुके हैं कि encryption messaging systems की privacy कमजोर करने वाले निर्देशों को वे नहीं मानेंगे
- Signal ने फरवरी में कहा था कि अगर एन्क्रिप्टेड मैसेजिंग ऐप्स की privacy कमजोर करना अनिवार्य किया गया तो वह ब्रिटेन से “walk” कर जाएगा
- Apple के जुड़ने से सबसे अधिक इस्तेमाल होने वाले कुछ एन्क्रिप्टेड ऐप्स अब बिल के इन प्रावधानों के विरोध में एक साथ खड़े दिखाई दे रहे हैं
खुला पत्र और security trust को लेकर चिंता
- digital civil liberties group Open Rights Group ने टेक मंत्री Chloe Smith को एक खुला पत्र भेजा
- इस पत्र पर देश-विदेश के 80 से अधिक civil society groups, academics और cyber experts ने हस्ताक्षर किए
- इसमें चेतावनी दी गई कि ब्रिटेन पहला उदार लोकतांत्रिक देश बन सकता है जो end-to-end encryption से सुरक्षित chats सहित निजी chat messages की नियमित स्कैनिंग की मांग करे
- चूंकि 4 करोड़ से अधिक ब्रिटिश नागरिक और दुनिया भर में 2 अरब लोग ऐसी services का इस्तेमाल करते हैं, इसलिए यह सिर्फ ब्रिटेन ही नहीं बल्कि अंतरराष्ट्रीय स्तर पर भी digital communication services की security के लिए बड़ा जोखिम हो सकता है
- सरकार और सैन्य ग्राहकों को E2EE products देने वाली ब्रिटिश tech company Element को चिंता है कि एन्क्रिप्टेड मैसेज privacy को कमजोर करने वाले बिल के कदम, ब्रिटिश कंपनियों के security products पर ग्राहकों का भरोसा कम कर सकते हैं
- इस बात की उम्मीद भी बढ़ रही है कि बिल के वे हिस्से बदले जा सकते हैं जिनकी आलोचना संभावित अनिवार्य स्कैनिंग के लिए की जा रही है
- ये बदलाव कुछ दिनों में जारी होने वाले amendments package में शामिल हो सकते हैं
- लेकिन विवरण क्या होंगे, या क्या वे campaign groups की चिंताओं को दूर करेंगे, यह अभी स्पष्ट नहीं है
1 टिप्पणियां
Hacker News की राय
अगर तर्क यह है कि end-to-end encryption देने के लिए platform को साथ-साथ बच्चों के भयानक यौन शोषण को रोक पाने में सक्षम होना चाहिए, तो यह वैसा ही तर्क है कि दीवारों वाले घरों पर भी प्रतिबंध लगा देना चाहिए अगर बिल्डर यह गारंटी न दे सके कि उसके अंदर किसी बच्चे को नुकसान नहीं पहुंचेगा
यह बेतुका और पागलपन भरा विचार है
यह काला-सफेद मुद्दा नहीं है, और मुझे पता है कि कई लोग इस बात से असहमत होंगे
AI image manipulation, autocomplete और कपड़े हटाने वाली images की वजह से CSAM कहीं ज्यादा अजीब होने वाला है
Japan में नाबालिगों के चित्रण वाली hentai रखना और बेचना कानूनी है, इस बारे में एक केस law भी है: https://en.wikipedia.org/wiki/United_States_v._Handley
अगर कोई https://thispersondoesnotexist.com/ जैसी जगह से किसी बच्चे की image ले और उससे nude या sexual activity वाली image generate करे तो क्या होगा? ऊपर वाले तर्क जैसा ही है कि बच्चा भी असली नहीं और sexual activity भी असली नहीं
बड़ा सवाल यह है कि “कैसे पता चले कि यह image किसी बच्चे के बलात्कार का सबूत है या बस AI-generated content है”
मैं धीरे-धीरे इस राय की ओर झुक रहा हूं कि “CSAM अपराध का सबूत है, अपने-आप में अपराध नहीं होना चाहिए”
हालांकि CSAM रखने पर strict liability हटाने की बात करूं तब भी, puberty से पहले के बच्चों का बलात्कार करने वाले इंसान के लिए मैं मौत की सजा का समर्थन करता हूं
बाल-यौन अपराधी खुद ही अपराध के scene की तस्वीरें और video लेकर उन्हें internet पर share कर रहे हैं; अगर law enforcement की तरह internet detectives इन सामग्री की जांच कर सकें, तो लगता है बहुत ज्यादा child abusers आखिरकार पकड़े जाएंगे
distribution तो जाहिर है illegal ही रहना चाहिए, लेकिन सिर्फ possession पर प्रतिबंध human traffickers को नहीं रोकेगा, और समस्या हल करने में बड़ी मदद कर सकने वाली amateur investigative manpower को खत्म कर देगा
इन्हीं लोगों ने कई cold-case murders सुलझाए हैं जिन्हें police भी नहीं सुलझा पाई थी
सोचें तो यह थोड़ा डरावना भी है। दूसरे अपराध-स्थल के सबूतों को इस तरह protect नहीं किया जाता
क्या किसी के चाकू मारे जाने, गोली लगने या सिर काटे जाने की photos/videos रखना illegal है? ऐसे material से sexual gratification पाने वाले लोग भी निश्चित ही होंगे, लेकिन ऐसे material के फैलने पर ज्यादा परवाह नहीं की जाती
ऐसा लगता है जैसे सत्ता में बैठे लोग सच में नहीं चाहते कि आम जनता जाने कि इसके पीछे कौन है। हम पहले से जानते हैं कि बहुत अमीर और ताकतवर लोग अक्सर child sex trafficking rings में शामिल पाए जाते हैं
AI image generation इसे और ज्यादा खतरनाक और हास्यास्पद बना देती है। अब वह समय आ रहा है जब कोई local तौर पर Stable Diffusion जैसी चीज से ऐसी images बना सकता है जो CSAM जैसी दिखती हों लेकिन उनमें असली बच्चा न हो, और फिर remote तरीके से या मेरे घर में कहीं SD card गिराकर उन्हें मेरी संपत्ति में डाल दे, तो मुझे दशकों की सजा की जिम्मेदारी झेलनी पड़ सकती है
उम्मीद करनी होगी कि आपके दुश्मन न हों
ऐसे मामलों के बाद America के कई states ने CSAM के computer-generated depictions पर प्रतिबंध लगा दिया, इसलिए computer-generated images या child sex dolls देश के बड़े हिस्से में allowed नहीं हैं
अगर वास्तविक बच्चों के शामिल न होने वाली ऐसी चीजों तक access हो, तो रुचि रखने वाले लोगों की बड़ी संख्या वास्तविक अपराध ज्यादा करेगी या कम, यह मुझे नहीं पता, इसलिए फैसला नहीं दे सकता
कुछ लोगों में यह craving कम करेगी, और कुछ में उसे और बढ़ाएगी। मैं psychologist नहीं हूं
क्या Apple ने कुछ समय पहले ऐसी photos के लिए on-device scanning की सिफारिश नहीं की थी?
अब उसका विरोध कर रहा है, यह अच्छा है, लेकिन इसे खुद implement करने की उसकी पिछली कोशिश की वजह से समझना मुश्किल है कि वह कितना sincere है
UK child protection groups तक का इस्तेमाल करके end-to-end encryption तोड़ने के अपने लक्ष्य को भावनात्मक और सामाजिक वजन दे रहा है
वह system सिर्फ iCloud पर upload की जाने वाली images पर काम करने के लिए design किया गया था, device के अंदर मौजूद किसी भी image पर नहीं
processing में इस्तेमाल होने वाली receipts upload process के हिस्से के रूप में generate होती थीं, और device या server में से कोई भी अकेले, जब तक दोनों cooperate न करें, independently उपयोगी जानकारी पता नहीं कर सकता था
यह एक दिलचस्प तरीका था जिसमें Apple ने privacy को maximize करने के लिए काफी सोच-विचार किया था
लेकिन लोगों ने details पढ़े बिना कल्पना कर ली कि यह कहीं ज्यादा सरल तरीके से काम करता है, और इसने यह उपयोगी चर्चा दबा दी कि यह असल में क्या करता है
UK-style approach का विरोध करना चाहिए, लेकिन Apple जिस तरीके को implement करना चाहता था, उसका मैं विरोध नहीं करता
Apple का असली stance क्या है?
जैसे article में government spokesperson ने कहा कि “companies को end-to-end encryption तभी implement करना चाहिए जब वे अपने platforms पर बच्चों के भयानक यौन शोषण को साथ-साथ रोक सकें,” Apple ने दूसरा हिस्सा करने की कोशिश की ताकि उसके पास government से end-to-end encryption regulation रोकने की मांग करने का आधार हो
तकनीकी कर्मचारियों को हर जगह union बनानी चाहिए और ऐसी घटिया नीतियों का सख्ती से विरोध करना चाहिए
हम विशेषज्ञ और elite हैं, हमें पता है कि सबसे अच्छा क्या है, और यहां नेतृत्व करने की जिम्मेदारी हमारी है
जैसे डॉक्टर बेचने के लिए अंग नहीं निकालते, और pharmacist ज़हर बनाकर नहीं देते, वैसे ही engineers को encryption backdoor नहीं बनाने चाहिए
डॉक्टर भी अक्सर Big Pharma से रिश्वत लेते हैं, और कुछ डॉक्टर नए swimming pool के लिए पैसे जुटाने के मकसद से गैर-जरूरी surgeries सुझाने जैसी पागलपन भरी चीजें करते हैं
unions employers के खिलाफ wages और working conditions के लिए लड़ती हैं, जबकि professional bodies डॉक्टरों या barristers की तरह अपने profession की सोची-समझी position का प्रतिनिधित्व करती हैं और सदस्यों को self-regulate करती हैं
इसके बजाय, अगर हम non-experts को समझ आने वाली भाषा में साफ-साफ समझा सकें कि समस्या क्या है, तो यह सबके लिए बेहतर होगा
यहां appeal to authority के तरीके से नहीं जाना चाहिए
UK की एक और पागल, काम न करने वाली internet policy है, और असल में लागू भी नहीं होगी
समझ नहीं आता वे बार-बार ऐसा क्यों करते हैं
अगर वे सचमुच गंभीर भी हों, तो UK एक छोटा देश है जिसके पास US tech giants पर दबाव डालने की ताकत कम है
इन कंपनियों के European tax base वाले Ireland जितना leverage भी नहीं है
NSA शायद Signal इस्तेमाल करने वाले Americans की बेहतर निगरानी का तरीका चाहती हो। कैसे किया जाए? British लोगों से करवा लो
कोई विचार कितना भी बेतुका क्यों न हो, यह सोचकर बैठे नहीं रहना चाहिए कि यह इतना मूर्खतापूर्ण है कि सच नहीं होगा
इसे सच न बनने देने के लिए लड़ना होगा
याद रखना चाहिए कि EU और US दोनों ऐसे कानून आगे बढ़ा रहे हैं
जल्द ही इसका विस्तार terrorist propaganda, drug dealing, और illegal protests के लिए उकसावे तक शामिल करने के लिए हो जाएगा
UK अजीब तरह से surveillance-friendly है
CCTV भी ज्यादातर दूसरे देशों से बहुत पहले व्यापक रूप से फैल गया था
Orwell British थे, इसलिए शायद उन्हें लगता है कि वे इस समस्या को अच्छे से control कर रहे हैं
British समाज कई मायनों में American समाज से बहुत अलग है, और history कुछ हद तक इसकी वजह समझाएगी
कई European feudal societies की तरह, यह पुरानी अपेक्षा रही है कि government को citizens की देखभाल करनी चाहिए
व्यक्तियों ने जैसा भी व्यवहार किया हो, predatory landlords से peasants की रक्षा करने वाले कानून थे, और उनका लागू होना perfect न रहा हो, फिर भी ऐसा framework था
साथ ही लंबे समय तक local “government” या community ने homeless लोगों की देखभाल की भूमिका निभाई
मेरा मुख्य point यह है कि जिस तरह का government distrust US में है, वैसा UK में बहुत ज्यादा नहीं है
इसलिए government बहुत बड़ी powers रखते हुए भी, अच्छा हो या बुरा, कम से कम अपने citizens के खिलाफ उनका दुरुपयोग नहीं करेगी—ऐसा भरोसा पा सकती है
CCTV तक सीमित रखें तो modern UK में यह असल में ज्यादातर London में केंद्रित है
यानी UK के अधिकांश हिस्से ऐसी surveillance से ज्यादा प्रभावित नहीं होते
और जहां तक याद है, ज्यादातर CCTV state नहीं बल्कि private entities चलाती हैं, और costs कम रखने के लिए कुछ हफ्तों के भीतर delete कर देती हैं
असल में यह Bourne Identity जैसा मामला नहीं है, जहां police London में दौड़ते किसी व्यक्ति की real-time footage देख रही हो
बाद में जानकारी पाने के लिए कई companies को requests और subpoenas भेजने पड़ते हैं
private CCTV को Orwellian कहना शायद एक confused analogy है
1984 में CCTV totalitarian government चलाती थी
और जो भी उनके घर के सामने से गुजरने की हिम्मत करे, उसका video internet पर डाल देता है
UK की मौजूदा ruling party 13 साल से सत्ता में है, और उसके ideas पूरी तरह खत्म हो चुके हैं
main opposition भी “हम उन्हीं जैसे हैं, बस बेहतर करेंगे” से आगे कोई वास्तविक proposal मुश्किल से देती है
UK के सामने मौजूद बड़े मुद्दे—debt, economy, housing, education, Brexit, democratic collapse—ऐसे हैं जिन पर लोग वास्तविक action को support नहीं करना चाहते
इसलिए parties के पास ऐसी बेवकूफ policies या transgender लोगों को paedophiles की तरह दिखाने जैसे fake divisive issues ही बचते हैं
इसलिए यह मुद्दा बार-बार लौटता है
पिछली बार सत्ता में आए काफी समय हो गया है, लेकिन Starmer बिल्कुल वैसा व्यक्ति है जो Labour को भी बहुत पसंद रहे anti-privacy, pro-surveillance agenda को आगे बढ़ाएगा
UK खुद को नुकसान पहुंचाने में माहिर लगता है
पहले Brexit, अब Online Safety Bill
Brexit को आबादी के आधे हिस्से ने support किया था, लेकिन इस safety bill ने जनता का ज्यादा ध्यान नहीं खींचा, या शायद मैं चूक गया
यह pattern लगता है कि किसी specific problem पर general solution लागू किया जा रहा है, जबकि उस general solution का blast radius मूल intended specific problem से असमान रूप से कहीं ज्यादा बड़ा है
वैसे, मैं Online Safety Bill के खिलाफ हूं
दोनों मुद्दों की तुलना नहीं की जा सकती
Apple पर privacy protection के मामले में भरोसा नहीं किया जा सकता
कोई नहीं जानता कि उसका software असल में क्या करता है
सब कुछ closed source है
विज्ञापनों में privacy protection पर जोर देने का मतलब यह नहीं कि वह सच में users की privacy की रक्षा करता है
federal agencies और law enforcement agencies लगातार शिकायत करती रहती हैं कि वे Apple users के data तक access नहीं कर पातीं
यहां तक कि इस पर lawsuits भी करती हैं
इसलिए लगता है कि यह काफी अच्छी तरह काम कर रहा है
साथ ही, Apple ने व्यापक रूप से advertise किया है कि वह privacy protection के लिए प्रतिबद्ध है, उसने कभी बेईमान होने का कोई संकेत नहीं दिया, हमसे झूठ बोलकर उसे कोई फायदा भी नहीं होगा, और अगर झूठ पकड़ा गया तो उसके brand को अकल्पनीय नुकसान होगा
यह वैसा ही है जैसे कहा जाए कि piracy के लिए ISP को जिम्मेदार ठहराया जाना चाहिए
2000 के दशक की शुरुआत से common carrier status की वजह से ऐसा नहीं हुआ
technology हमेशा अपने द्वारा carry किए जाने वाले content से अलग बने रहने का तरीका खोज लेती है
बेहतर secret messaging की अवधारणा तकनीकी रूप से संभव है—ऐसा कोई research paper आने के 5 मिनट बाद ही, लगता है ऐसी encryption exposure policies कानून के रूप में लागू हो जाएंगी